Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- it-themen:grundlagen:netzwerkdienste:dhcp-snooping [01.12.2025 12:26] – [Vorteile von DHCP Snooping] lars
+++ it-themen:grundlagen:netzwerkdienste:dhcp-snooping [01.12.2025 12:30] (aktuell) – [Zusammenfassung] lars
@@ Zeile 84: / Zeile 84: @@
 <code>
-ip dhcp snooping
-ip dhcp snooping vlan 10,20,30
-interface Gi0/1
+ ip dhcp snooping
-   ip dhcp snooping trust     ← Uplink
+ ip dhcp snooping vlan 10,20,30
+ interface Gi0/1
+    ip dhcp snooping trust     ← Uplink
+ interface Gi0/10
+    ip dhcp snooping limit rate 20  ← Anti-Flood
-interface Gi0/10
-   ip dhcp snooping limit rate 20  ← Anti-Flood
 </code>
 ===== Konfiguration – allgemeiner Ablauf (herstellerneutral) ======
 . DHCP Snooping global aktivieren
 . VLANs definieren, in denen DHCP Snooping gilt
 . Uplink-Port(s) trusted setzen
 . Alle Access-Ports bleiben untrusted
 . Optional Rate-Limits setzen
 . Binding Table aktivieren
 ===== DHCP Snooping + ARP-Schutz ======
@@ Zeile 107: / Zeile 110: @@
 Mit aktivem Snooping kann DAI (Dynamic ARP Inspection) prüfen:
   * passt IP zu MAC?
   * passt Port zur MAC?
 Wenn nicht → blockiert.
@@ Zeile 114: / Zeile 117: @@
 ===== Typische Fehlerquellen ======
   * Uplink versehentlich untrusted → DHCP fällt komplett aus
   * nicht alle relevanten VLANs aktiviert
   * Binding Table nicht persistent gespeichert
   * Rate-Limits zu niedrig eingestellt
 ===== ASCII-Diagramm – DHCP Snooping Übersicht ======
 <code>
-             +-------------------+
-             |    DHCP-Server    |
+              +-------------------+
-             +---------+---------+
+              |    DHCP-Server    |
-                       |
+              +---------+---------+
-                 (trusted port)
+                        |
-                       |
+                  (trusted port)
-+----------------------+----------------------+
+                        |
-|                    Switch                   |
+ +----------------------+----------------------+
-|   untrusted ports   |    trusted ports      |
+ |                    Switch                   |
-|  PC1 PC2 PC3 PC4    |      Uplink           |
+ |   untrusted ports   |    trusted ports      |
-+----------+----------+-----------------------+
+ |  PC1 PC2 PC3 PC4    |      Uplink           |
+ +----------+----------+-----------------------+
 </code>
 ===== Sicherheitsgewinn auf einen Blick ======
   * verhindert DNS-Umlenkungen durch Rogue DHCP
   * verhindert Man-in-the-Middle
   * beschränkt DHCP-Verkehr auf vertrauenswürdige Ports
   * Grundlage für weitere Switch-Sicherheitsfunktionen
 ===== Zusammenfassung ======
   * DHCP Snooping schützt vor falschen DHCP-Servern
   * unterscheidet trusted vs untrusted Ports
   * speichert gültige MAC–IP–Port-Zuordnungen in Binding Tables
   * essenziell in Unternehmen und VLAN-Umgebungen
   * Grundlage für IP Source Guard & Dynamic ARP Inspection